Ловушка для невнимательных
11 августа 2020
Мы уже рассказывали о том, как мошенники используют названия ресурсов, схожие с легальными (см., например, выпуск «Человеку свойственно ошиваться, или Куда ведут очепятки»). Скажем, как правильно: drweb.com или drwеb.com? Визуально разницы нет, но если мы введем второй вариант в адресную строку браузера, знакомый всем читателям сайт не откроется. И придумать подобные названия ресурсов можно, увы, легко, равно как и зарегистрировать их. Этим и пользуются мошенники, рассылая ссылки на сайты с несколько измененным адресом своим потенциальным жертвам.
Есть даже сервис, который ищет в сети все схожие по виду названия.
Называется этот прием тайпсквотингом:
Тайпскво́ттинг (англ. typosquatting ← typo опечатка + cybersquatting) — регистрация доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей.
Подмена может использоваться не только с доменами. В магазинах приложений и в свободном доступе – миллионы программ, и ошибиться, набирая нужное название, очень легко.
Компания ReversingLabs опубликовала результаты анализа применения тайпсквоттинга в репозитории RubyGems. В ходе исследования было выявлено более 700 пакетов, названия которых схожи с популярными пакетами и отличаются незначительными деталями, например, заменой похожих букв или использованием подчёркивания вместо тире.
И с понятным содержимым:
В более чем 400 пакетах были обнаружены компоненты, подозреваемые в совершении вредоносных действий.
Насколько пользователи невнимательны?
Пакет был загружен 2100 раз (нормальный пакет при этом был загружен 6496 раз, т.е. пользователи ошибались почти в 25% случаях)
Каждый четвертый не проверяет, какое название вбивает!
Интересно, что злоумышленники использовали для обхода антивирусов сокрытие кода и изображение (о такой технике мы тоже писали). Причем маскировка была минимальной:
Вредоносные пакеты включали в себя PNG-файл, в котором вместо изображения размещался исполняемый файл для платформы Windows.
При установке пакета файл png переименовывался в exe и запускался.
И не сказать, что случившееся – нечто новое. Быстрый поиск выдает новость за 2016 год:
Для оценки эффективности метода тайпсквоттинга в репозиториях PyPI (Python), Npmjs.com (Node.js) и rubygems.org (Ruby) было размещено 214 подставных пакетов, имена для которых были выбраны в соответствии с тремя основными критериями: опечатки в названии (например, coffe-script вместо coffee-script), незарегистрированные варианты имён из стандартной библиотеки (например, urllib2) и имена, вычисленные алгоритмами оценки схожести имён (например, req7est вместо request).
Результат превзошёл все ожидания - на сервере было зафиксировано 45334 запросов от 17289 уникальных хостов. Т.е. если бы метод был применён для организации атаки, то удалось бы захватить управление над более чем 17 тысячами компьютеров, чего более чем достаточно для развёртывания ботнета. Более того, в 43.6% случаев (на 8552 хостах) код был выполнен с правами администратора (!), позволяющими полностью контролировать операционную систему.
#адрес_сайта #Интернет #магазины_приложений #мошенничество #опечатки
Антивирусная правДА! рекомендует
- Будьте внимательны!
- Используйте антивирус. Разработчики часто пренебрегают защитой, считая, что они распознают угрозу. Приведенная выше статистика говорит об обратном.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Tatiana
20:43:24 2020-09-07
microlab
07:30:30 2020-08-13
avgur
19:32:50 2020-08-12
Polyarnik
16:46:18 2020-08-12
Sasha50
14:57:54 2020-08-12
Пaвeл
07:39:03 2020-08-12
Lia00
01:54:16 2020-08-12
Неуёмный Обыватель
01:49:35 2020-08-12
Альфа
23:51:17 2020-08-11
Fhnev
23:32:44 2020-08-11
Любитель пляжного футбола
22:21:13 2020-08-11
Шалтай Александр Болтай
20:58:57 2020-08-11
Татьяна
20:46:13 2020-08-11
Татьяна
20:41:29 2020-08-11
orw_mikle
20:29:22 2020-08-11
Dvakota
20:18:10 2020-08-11
anatol
20:14:53 2020-08-11
matt1954
19:41:23 2020-08-11
L1t1um
19:06:19 2020-08-11
Lex
18:08:00 2020-08-11
Serg07
18:01:45 2020-08-11
admin_29
17:45:40 2020-08-11
Toma
16:44:05 2020-08-11
marisha-san
15:19:41 2020-08-11
Korney
15:14:05 2020-08-11
Korney
15:10:09 2020-08-11
Masha
14:59:53 2020-08-11
Masha
14:55:02 2020-08-11
DrKV
13:50:01 2020-08-11
====
@Пaвeл, С днем рождения! Всего самого хорошего!
dyadya_Sasha
12:55:15 2020-08-11
dyadya_Sasha
12:51:15 2020-08-11
Здорово когда есть помощник которому доверяешь, который показывает(доказывает) свою способность быть очень внимательным на протяжении многих лет.
Спасибо ДрВеб! Спасибо за сохраненные время и нервы, за возможность сделать больше, за способность избежать хотя бы части проблем!
И не забываем, про правильный полноценный отдых! Все в лес, на озера и реки! Там нет фальшивого, прикидывающегося и поддельного - там всё настоящее! Хорошо отдохнув будет легче в этом сложном, постоянно требующем внимательности мире.
Денисенко Павел Андреевич
12:27:32 2020-08-11
Антивирус нужен всегда.
runikot
12:27:09 2020-08-11
Dmur
12:16:08 2020-08-11
Dmur
12:15:20 2020-08-11
vinnetou
11:50:17 2020-08-11
Геральт
11:43:15 2020-08-11
Родриго
10:23:31 2020-08-11
EvgenyZ
09:58:18 2020-08-11
Vlad X
09:26:08 2020-08-11
Vlad X
09:24:55 2020-08-11
Alexander
08:59:05 2020-08-11
А нам, человекам, учиться у него и учиться. И внимательности, и принципиальности, и последовательности, и осторожности... Да много чего хорошего и нужного по жизни у него можно (и важно!) перенять...
Человек читает или слышит, что "надо быть внимательнее". Некоторые сознательные, даже понимают, что "именно вот сюда", в первую очередь, надо посмотреть. Хорошие ученики даже в тетрадку запишут это отдельным пунктом. Прочитают-услышат новый совет - ещё одна очередная запись... И тетрадка-то уже как инструкция-фолиант, - вся исписана умными рекомендациями.
И на которую запись-наставление смотреть сначала, и на какой странице?! Глаза разбегаются, внимание рассредоточивается, RAM светлой головушки переполняется... Немощь наваливается…
И... по нашему... по российски... была не была... Господь не выдаст, свинья не съест... авось, и...
Но, Dr.Web Security Space всегда на стрёме!!! И на этот раз тайпскво́ттинг не прошёл. Знай наших!!!
GREEN
08:51:30 2020-08-11
"Будьте внимательны!"
Я всегда осторожен. И немного паранойи в придачу.
Помогает. Почти всегда.
vkor
08:40:19 2020-08-11
Zserg
08:31:41 2020-08-11
Ну, и доверяйте только профессионалам - таким, как Dr.Web.
Slava90
08:10:59 2020-08-11
Вся надежда только на Drweb.
tigra
07:15:11 2020-08-11
tigra
07:14:16 2020-08-11
ka_s
07:11:53 2020-08-11
Пaвeл
07:04:54 2020-08-11